HAKI HAUKKUPANTA JOSTAIN MUUALTA

 Tämä kirje on huijaus.

Kirje noudattaa tällä hetkellä vallassaolevaa huijareiden kirjeiden kaavaa.
Yhteenkään linkkiin ei saa klikata, eikä liitteitä saa avata.

----------------------------------KIRJE---------------------------------------

SPÄMMISUODATUKSEN KOMMENTTEJA:

0.0 HTML_FONT_LOW_CONTRAST BODY: HTML-fontin väri on samanlainen tai identtinen kuin tausta

(Tämä tarkoittaa, että tekstiä on piilotettu taustaväriin)

0.8 CPANEL_LOTS_OF_EMPTY_LINE_HTML RAW: Roskapostia, jossa on suuri määrä tyhjiä HTML-rivejä

0.0 AC_BR_BONANZA RAW: Liikaa rivinvaihtoja peräkkäin... roskapostimalli

0.8 CPANEL_LOTS_OF_EMPTY_LINE RAW: Roskapostia, jossa on suuri määrä tyhjiä rivejä

Tyhjien rivien runsas käyttö on roskapostille tunnusomaista.

HUIJARIN PAKETTI SAAPUU ITALIASTA

Kirje saapui tilanteessa, jossa todellakin odotin Postin lähetystä, johon olin jo saanut lähettäjäfirmalta ilmoituksen hetkeä aikaisemmin, tämän kirjeen saapuminen ajoittui liian sopivasti. Huijari saattaa seurata sähköpostiliikennettä?

Huijausta tulee epäillä aina ja joka tapauksessa, missä minkäänlaisia henkilötietoja tai pankkitietoja pyydetään. Siitä syystä katsoin noiden linkkien osoitteet hyvin tarkkaan ja ne osoittautuivat huijarin ansaksi.

Jo lähettäjän osoite kertoo huijauksen yrityksestä. Postista ei saavu postia muista kuin "posti.fi" tunnuksen osoitteista. Myöskään administratorit (admin) eivät lähetä asiakaspostia.
Postin tiedotteet kertovat myös tarkan postitoimiston ilman linkkivierailuja.

------------------------------------------KIRJE--------------------------------------------

LINKKI: "https://track.pstmrk .it/3s/track.pstmrk. it%2F3s%2Fbeige-finch-816149.hostingersite. com%252FPOS%252Frederiction. php%2FhQ..."
Osoittaa italialaiseen osoitteeseen, jossa näyttäisi odottavan palvelinpuolen PHP - ohjelma, joka voi tehdä ikäviäkin asioita. Yleensä se tuottaa lomakkeen, jossa udellaan henkilötietosi ja mahdollisesti myös pankkitietosi.

CleanDNS virustorjuntasivusto kertoo osoitteesta: " Alleged Domain Abuse Reports. Suspicious (27 Reports). Suomeksi:  kyseisestä osoitteesta on tehty 27  henkilötietovarkausraporttia.

F-Securen selaussuoja kertoo myös karua kieltä lähetyksestä:

TÄLLÄ LAITTEELLA LÄHTEE MYÖS RAHAT

Jos lähettäjäosoite päättyy pidenteeseen ".PICS" on hyvin todennäköistä, että kyseessä on haittaposti, joita näyttää nyt olevan runsaasti liikkeellä. Tämänkään kirjeen lähetysosoite ei ole toiminnassa. ".pics" päätteen osoitteita käyttävät yleensä kuvia tallentavat ja välittävät palvelut, ei hyönteiskarkoittajat suinkaan.
Tämän kirjeen TXT muoto paljastaa kehnon scandien käsittelyn, joka aina viittaa huijarin viritelmään.
Tämä kirje on kulkenut roskapostisuodattimen läpi ja suodatinohjelma kertoo joitakin tämän spämmin erikoisuuksia (kuvan alapuolella)..

HTML muodossa kirjeessä näyttäisi olevan kuvia MUTTA älä kuitenkaan klikkaa ainuttakaan linkkiä tämän kaltaisessa kirjeessä.

-------------------------------------KIRJE--------------------------------------------

SPÄMMISUODATUKSEN KOMMENTTEJA:

0.0 HTML_FONT_LOW_CONTRAST BODY: HTML-fontin väri on samanlainen tai identtinen kuin tausta

(Tämä tarkoittaa, että teksti on piilotettu taustaväriin)

0.8 CPANEL_LOTS_OF_EMPTY_LINE_HTML RAW: Roskapostia, jossa on suuri määrä tyhjiä HTML-rivejä

0.0 AC_BR_BONANZA RAW: Liikaa rivinvaihtoja peräkkäin... roskapostimalli

0.8 CPANEL_LOTS_OF_EMPTY_LINE RAW: Roskapostia, jossa on suuri määrä tyhjiä rivejä

Tyhjien rivien runsas käyttö on roskapostille tunnusomaista.

TERVEISIÄ VENÄJÄLTÄ

Venäläisillä huijareilla on onneksi vaikeuksia scandeissa (ääkköset), joten huijauskirjeen lähtömaa ja ikävät aikeet selviää ilman syvällisempää tutkintaakin.  Kirjeen sisältö on riittävän outoa ja epäloogista, kertoakseen kirjeen epäterveellisistä tavoitteista..

Ajoin kirjeessä olevan linkkiosoitteen kuitenkin virustarkistuksen läpi ja sain odottamiani vastauksia.
Esiin kaivettu linkki: "hxxps://tr11.patriotsedition. com/?xtl=kxh0..."  ja sen takaa piilosta vielä jatkolinkki "cardioclear7. com" molemmat todettiin epäilyttäviksi. ÄLÄ KLIKKAA! 

Osoitetta toistetaan eri tekstien yhteyksissä samanlaisena, eli ihan sama mihin linkkiin klikkaisit, päätyisit aina samaan ansaan. tr11.patriotsedition. com ei vaikuta rehelliseltä toimijalta, vaan se on erittäin suurella todennäköisyydellä huijaussivusto.

FALCON SANDBOX virustorjunta kertoo: Suspicious domain detected. Details: Input URL or Contacted Domain: "cardioclear7. com" has been identified as suspicious 

Linkin päässä oleva osoite johtaa edelleen uuteen osoitteeseen: Suspicious Redirect (Delayed Redirect):

Se varsinainen vaara: "Adversaries may communicate using application layer protocols associated with web traffic to avoid detection/network filtering by blending in with existing traffic"
Tämä tarkoittaa, että viattomalta vaikuttavan dataliikenteen seassa voidaan ujuttaa koneellesi vaikkapa virus.
"An adversary may rely upon specific actions by a user in order to gain execution".
Google käännös: "Vastustaja voi luottaa käyttäjän tiettyihin toimiin saadakseen suorituksen".
Tämä voidaan tulkita, että huijari voi harhauttaa kirjeen lukijan antamaan arkoja tietoja, esim. pankkikirjautumisen ja/tai henkilötietojaan.

Tämankaltaista materiaalia voidaan uittaa koneellesi vaikkapa videoksi naamioidulla tiedostolla, tai videon esitys-appilla, kuten kirjeen teksteistä voisi päätellä.

-------------------------------------------KIRJE-----------------------------------------------

GOOGLE kertoo osoitteesta lisää: "Verkkosivustoa tr11.patriotsedition. com käytetään "Trump 2024 TRB11 Patriots Coin" -kolikon markkinointiin."

Tämä kirje ei ole kuitenkaan lähtöisin Amerikasta tai Trumpin organisaatioista. Osoitetta käytetään naamioimaan venäläinen huijausyritys.

OIKEA VEROVIRANOMAISEN VIESTI

KUN SAAT TÄMAN KALTAISEN VIESTIN VIRANOMAISLTA, SE ON AITO JA OIKEA!

Nyt saapuu sähköpostina näitä veropäätösilmoituksia ja on hyvä osata erottaa "oikea" "väärästä".

1) Katso mistä viesti on lähetetty. suomi. fi on Suomen viranomaisten yhteinen osoite

2) Kirjeessä ei saa olla kirjautumislinkkiä 

------------------------------------AITO KIRJE TXT muodossa----------------------------------------------

Tämä kirje on aito veroviranomaisen viesti. HUOMAA, että kirjeessä ei ole linkkiä ja, että se on saapunut 0soitteesta <noreply@suomi. fi> palvelusta.

------------------------------HUIJAUSKIRJE-------------------------------------

Tässä huijauskirjeessä oleva linkki EI VIE Oikeusministeriön sivuille, vaan huijarin käyttämälle palvelimelle. Nämä mallikirjeet on kaapattu tekstimuotoisista e-maileista, koska ne paljastavat yleensä enemmän huijarin metkuja, kuin HTML esitykset. Tässäkin tapauksessa on selkeästi luettavissa linkin osoite, joka kiertää Googlen palvelun kautta huijarin kryptattuun osoitteeseen.

------------------------------TOINEN HUIJAUSVIESTI-----------------------------------

Tämäkään kirje ei saavu suomi. fi palvelusta, vaan verkkorikollisen varastamasta, espanjalaisesta "telefonica. net" osoitteesta, joka ei ole edes käytössä.
Kirjeen linkki vie jälleen Googlen palvelun kautta rikollisen ansapalvelimelle:.https://notifications.googleapis. com/email/redirect?t=3DAFG8qyUAadz8MwoLCzYN17kl...

POSTIN NIMISSÄ JÄLLEEN HUIJATAAN

Linkki veisi osoitteeseen: https://track.pstmrk. it/ (Italiaan).

Jälleen hankalasti selvitettävissä oleva ansa mutta muutama verkosta löytyvä vinkki auttaa kaikissa epäilyttävissä kirjeissä.

Linkissä esiintyvä "Postmark" on laillinen ja laajasti käytetty globaali palvelu.
Huomioi väärinkäytön mahdollisuus: Vaikka domain itsessään on turvallinen, rikolliset voivat usein hyödyntää laillisia sähköpostipalveluita phishing- eli tietojenkalasteluviestien lähettämiseen.
Näitä huijausposteja saapuu mm. Googlen ja Amazonin osoitteiden kautta.
Molemmat kirjeen linkit vievät kaiken lisäksi samaan osoitteeseen, vaikka kirjoitettu tarkoitus on eri.

Linkki voi johtaa väärennetylle kirjautumissivulle, jossa yritetään varastaa tunnuksiasi (esim. pankki-, sähköposti- tai Apple ID -tunnuksia). Se voi myös ladata laitteellesi haittaohjelman.

Tarkista aina viestin lähettäjä: Jos odotit sähköpostia (esimerkiksi viranomaiskirjettä, pakettia, kuittia tai salasanan palautusta) tutulta yritykseltä, linkkiä voi olla turvallista klikata.
Älä klikkaa, jos viesti on epäilyttävä: Jos viesti tuli yllättäen tai se pyytää kirjautumaan pankkitunnuksilla tai syöttämään luottokorttitietoja, älä klikkaa linkkiä.
TARKISTA AINA LÄHETTÄJÄOSOITE!

Tämän kirjeen lähetysosoite on epäilyttävä, koska se on vanha Inetin osoite "code-posti-scanner-qr@pp.inet. fi". Osoitteella halutaan viitata Postin QR tagipalveluun, joka ei suinkaan takaa kirjeen turvallisuutta. Kyseessä on vanha, alkujaan Telian (Soneran) tarjoama suomalainen sähköpostiosoite.
Posti käyttää vain omaa osoitettaan "posti. fi" ja kertoo myös palvelupisteen osoitteen, josta paketti on noudettavissa.

----------------------------------------KIRJE------------------------------------------

EDELLINEN SAMANKALTAINEN ANSA POSTIN NIMISSÄ:

https://vaarallinenweb.blogspot.com/2026/06/postin-nimissa-qr-tagi-ansa.html

VAIN TAIVAS ON HUIJARIN MIELIKUVITUKSEN RAJANA

Olisiko huijari jo näin epätoivoinen, että kirjoittaa diibadaabaa ja kuvittelee, että joku vielä häntä uskoo?
Huijauskäyttöön varastettu lähetysosoite viittaa Itävaltaan, Liittovaltion kauppakorkeakouluun, jolla ei ole mitään tekemistä huijarin kanssa.

Samoin vastaanottajan osoitteessa oleva domain "dsi. fi" on "parkissa", eli ei ole käytössä lainkaan.

. Ansa on liitteessä. ÄLÄ AVAA!

-------------------------------KIRJE-------------------------------

CARUNAN NIMISSÄKIN HUIJATAAN

Tämä Carunan nimissä saapunut kirje on HUIJAUS!

Kirje ei tule Carunasta, vaan "cruiseraad. nl" olemattomasta osoitteesta, joka todellisuudessa pestään tuntemattokasi  Amazonin postipalvelun kautta (eu-west-1.amazonses. com).

Linkki vie rikollisen palvelimelle jonka osoite piilotetaan puolestaan Googlen palvelun avulla, jotta lopullinen linkki saadaan piiloon: "https://share. google/0w3oz3qrjLefUsY1G" 

Suuret verkkotoimijat piilottavat ja suosivat rikollista toimintaa!

LIITTEITÄ ei saa avata myöskään.

--------------------------------------KIRJE-------------------------------------------

POSTIN NIMISSÄ QR-TAGI ANSA

ÄLÄ KOSKE KIRJEEN LINKKEIHIN.
Linkit (kaikki vievät samaan ansaan) on todettu virustorjunnassa vaarallisiksi ja ne osoittavat Italiaan.
"https://track.pstmrk .it/3s/track.portal-129901-..." 

Vipre virustorjunta kertoo linkistä: URL Score Malicious (100%) 

Falcon Sandbox virustorjunta kaivoi esille osoitteen ja varoittaa: "

Malicious domain detected. Details: CONTACTED DOMAIN: "portal-129901-login. com" has been identified as malicious

------------------------------------------KIRJE TXT MUODOSSA------------------------------------------

TÄLLÄ ALLA OLEVALLA LINKILLÄ PÄÄSET POSTIN SIVUILLE MUTTA ÄLÄ KLIKKAA EDES TÄTÄ, VAAN KIRJOITA ITSE SELAIMEN OSOITERIVILLE "posti. fi" (poista tyhjä väli pisteen jälkeen)

https://www.posti. fi/ajankohtaista-postilla/20251006_uutta-omapostissa-helposti-koodi-nyt-myos-qr-koodina

KELAN NIMISSÄ HUIJATAAN TAAS

Kaikki viranomaisviestit joissa tarvittaisiin kirjautumista, ovat VAARALLISIA.
Tämän kaltaisten viestien linkkeihin ei saa koskea. Jos epäilet, että sinulla on (esimerkiksi) Kelasta saatavia, mene Kelan sivuille vain selaimen osoitekenttään itse kirjoittamallasi osoitteella "kela. fi" (poista tyhjä väli pisteen jälkeen).

Kirjeestä löytyvä osoite kulkee Googlen kautta huijarin vaaralliselle sivulle.
Falcon Sandbox virustorjunta kertoo tuosta esiinkaivetusta osoitteesta:
"Malicious domain detected. Details: CONTACTED DOMAIN: "gdsdfewas. shop" has been identified as malicious"    Älä avaa myöskään liitteitä!                                                                                   

Tärkeää on myös katsoa, mistä kirje on lähetetty. Tämä kirje saapuu osoitteesta jota ei ole olemassa "activate-me. nl" eikä se ole Kelan osoite.

---------------------------------------------KIRJE---------------------------------------------